cookie 和session的原理以及异同

一、区别：

1.存储位置不同

cookie数据存放在客户的浏览器中，session数据存在服务器当中。

2.安全程度不同

cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

3.数据存储大小不同

cookie的存储不能超过4k，而session没有限制

二、相同点

两者都是为了存储用户数据

三、机制

1.cookie作用原理

1）当用户第一次访问服务器时：服务器会在响应消息中增加Set-Cookie头字段

　　　　(Set-Cookie头字段的语法格式：Set-Cookie: CookieName=CookieValue; Path=/;)，将用户信息以Cookie的形式发送给浏览器。

　　2）一旦用户浏览器接受了服务器发送的Cookie信息，就会将它保存在浏览器的缓存区中。

　　3）当浏览器后续访问服务器时，都会在请求消息中将用户信息以Cookie的形式发送给Web服务器，从而使服务器端分辨出当前请求是由哪个用户发出的。

2.session作用原理

Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。相当于医院发放就诊卡，卡上只有卡号而没有其他信息。医生根据卡号在医院查询到病人的就诊信息。

　需要注意的是，客户端需要接受、记录和回送Session对象的ID。